mercredi 16 avril 2014

Changements de mots de passe et questions personnelles

Ces derniers jours, la toile toute entière était en émoi après la découverte de la faille Heartbleed. Par voie de conséquence, il est fortement recommandé aux utilisateurs de changer leurs mots de passe sur les services affectés par cette vulnérabilité. L’occasion de bien choisir ses mots de passe et surtout ses questions secrètes pour les retrouver en cas d'oubli…

La faille Heartbleed

Sous ce doux nom de code se cache non pas un virus mais une vulnérabilité liée au développement de la bibliothèque open source OpenSSL. La faille étant liée à cette bibliothèque, elle ne touche pas tout le monde, mais seulement les services l’utilisant. L’objet de cet article n’étant pas de s’étendre sur cette faille, nous ne résistons pas au plaisir de vous joindre des liens sur une présentation de la faille et une liste des services touchés par Heartbleed.
Comme nous le disions sur notre fil Twitter un peu plus tôt, nos services ne sont pas concernés par le problème. Par rapport à la sécurité, le seul conseil de prudence que nous pouvons vous donner est simplement de vous abonner à notre compte twitter et à la page Facebook d’Arx One :)

Les mots de passe

Que ce soit pour des sites marchand, l’accès à votre environnement de travail ou votre solution de sauvegarde préférée, il vous faut des mots de passe. Comme nous l’écrivions en 2011 dans notre article sur les pires mots de passe, un mot de passe est une mesure de protection essentielle.
Des mots de passes différents pour des services différents sont aussi une bonne mesure de protection : si un de vos comptes se fait hacker, ce n’est pas l’ensemble de vos comptes utilisateur qui seront compromis.
Enfin, ne pas noter ses mots de passe sur un post-it collé à votre machine est également une mesure de sécurité importante. Peut-être que nos éminents chercheurs se pencheront-ils un jour sur cette faille de sécurité majeure !

Un mot de passe de sauvegarde ?

Pourquoi mettre un mot de passe dans une solution de sauvegarde, me demanderez-vous ?
Lorsqu’il s’agit de sauvegarde externalisée, il est aisé de comprendre que la confidentialité est de rigueur. Par contre, lorsqu’il est question de sauvegarde interne à l’entreprise, la notion de confidentialité des sauvegardes ne tombe pas toujours sous le sens. Pourtant, il parait logique qu’un dirigeant ne souhaite pas que son administrateur ait accès à ses données confidentielles par le biais d’une restauration… Ou encore que lors de la sortie de l’entreprise de moyens de stockage de données sauvegardes (renouvellement, déplacement…) que les données ne soient pas accessibles au premier indiscret venu !
Nous vous le disons, quel que soit le lien où sont stockées les données de votre sauvegarde dématérialisée, les mots de passe sont indispensables !

Les questions secrètes

Afin de vous éviter la fameuse « faille du post-it », beaucoup de solutions, comme notre solution de sauvegarde, vous permettent de retrouver votre mot de passe en cas d’oubli. Pour ce faire, vous devez répondre à une ou plusieurs questions secrètes (dont vous seul êtes sensé connaître la réponse) pour faire apparaître un indice que vous aurez choisi. Malheureusement, les questions secrètes sont souvent trop simplistes et après quelques recherches Internet, les réponses peuvent êtres trouvées par n’importe qui.
Cela représente une faille de sécurité importante : récemment, les autorités de plusieurs pays ont démantelé un réseau de « pirates à la demande » ayant craqué les mots de passe de 5 900 comptes. Ces méfaits ont été réalisés sur la base d’ingénierie sociale. Les pirates récoltaient des informations personnelles à l’aide de recherches fines et arrivaient ainsi à répondre aux questions secrètes « bateaux » (Le nom de jeune fille de votre mère, etc…).
C’est précisément pour cela que les questions permettant de retrouver le mot de passe de nos solutions de sauvegarde n’ont pas été choisies au hasard. Elles sont le fruit d’études poussées sur les questions secrètes et leur fiabilité.

Conclusion

Au delà de la faille Heartbleed qui a défrayé la chronique il est important de se rappeler que le choix de bon mots de passe reste important. Tout aussi important, finalement, en termes de sécurité, que la façon dont ils sont stockés, mémorisés (le fameux post-it) et rappelés en cas d’oubli !